PBF またはトンネル監視のための IP アドレスの選択
54544
Created On 09/25/18 18:50 PM - Last Modified 06/09/23 08:48 AM
Resolution
概要
PBF (ポリシーベースの転送) 監視またはトンネル監視は、構成された PBF パスまたはトンネルを介して途切れない接続を維持します。これを実現するために、ping パケットは構成されたリモート IP に送信され、パスが目的の通信に対してまだ使用可能かどうかを判断します。
詳細
監視が正常に動作するには、PBF パスまたは構成されたトンネルを介して到達可能なリモート IP アドレスを選択します。
この ip アドレスには、構成されたリモートネットワークまたは ip アドレスの監視対象 ip アドレスを指定できます。
メモ: ping パケットは、ローカルトンネルインタフェース (トンネル監視用)、または出力インタフェースとして設定されたインタフェース (PBF 監視用) から供給されます。一般的に、トンネルの監視は、別のパロアルトネットワークファイアウォールにパロアルトネットワークの防火壁から使用されています。非パロアルトネットワークのファイアウォールにパロアルトネットワークトンネルの監視を使用している場合は、追加の要件は、トンネルの監視は、パロアルトネットワークのファイアウォール上のトンネルの監視構成で動作するように満たす必要があります。次の場所にあることを確認してください。
- ポリシーは、他のデバイスへのパロアルトネットワークファイアウォールのトンネルの IP アドレスからの ping を許可する。
- 両方のデバイスの監視対象トラフィック用に構成されたプロキシ id:
- パロアルトネットワークファイアウォールでは、ローカル ID はトンネルの ip であり、リモート ip は他のデバイスのトンネル ip アドレスまたは他のデバイスの背後にあるノードの ip アドレス (どちらかが監視されている) です。
- 他のデバイスのプロキシ id は、パロアルトネットワークファイアウォールの下で指定されているもののミラーイメージである必要があります。
リモートネットワークで監視対象の IP アドレスを使用している場合、ローカルトンネル/送信アドレスは、監視対象のアドレスと同じサブネットにある必要はありません。監視対象のデバイスが ping に応答するように構成されていて、トンネルまたは PBF を介して到達可能である限り、モニタは引き続き機能します。
また、この記事では、トンネルを介して PBF 監視が重複しているサブネットのために動作しないことを見て: PBF の監視がトンネル IPAcross のために有効になっているときに PBF ルールが動作していない
所有者: tasonibare